Ethernet sans-fil Wireless LAN

Agenda • Etat de la Technologie • Architectures Wireless • Fonctions Avancées • Produits Cisco Aironet & Administration

Etat de la Technologie Wireless LAN

Technologies Wireless LAN La famille 802.11 • Le Standard IEEE 802.11  Premier standard en Juillet 97  Définition de la couche physique (radio DS, FH)  Définition de la couche MAC (Medium Access Control) • Qu'est-ce que le WI-FI?  Un label  Validation du respect du standard et de l'interopérabilité  Décerné par un groupement de constructeurs (http://www.wi-fi.com)

Technologies Wireless LAN Généralités sur 802.11 802.11b 802.11a 802.11g Bande de Fréquence 2,4 GHz 5 GHz 2,4 GHz US/Asie Pacifique Partiellement en Europe Disponibilité Mondiale Mondiale Débit maximum 11 Mb/s 54 Mb/s 54 Mb/s Les lois de la Radio : Débit plus grand = Couverture plus faible Puissance d'émission élevée = Couverture plus grande mais durée de vie des batteries plus faible Fréquences radio élevées = Meilleur débit, couverture plus faible

Technologies Wireless LAN Généralités sur 802.11b Canaux 1 2 3 4 5 6 7 8 9 10 11 12 13 14 2402 GHz 22 MHz 2483 GHz • 14 canaux de 22 MHz (13 en France, 11 aux US) • 3 canaux disjoints (1, 6 et 11) • Débit théorique de 11 Mb/s • 3 points d'accès ou Ponts Radio peuvent couvrir la même zone, offrant un débit global de 33 Mb/s

Technologies Wireless LAN Couverture 802.11b 2 Mb/s 100 mW : 75 à 100 mètres 5,5 Mb/s 100 mW : 45 à 75 mètres 11 Mb/s 100 mW : 30 à 45 mètres

Technologies Wireless LAN Généralités sur 802.11a Bande des 5 GHZ 5,15 5,25 5,35 5,470 5,725 5,825 4 canaux 4 canaux 11 canaux 4 canaux US (FCC) 12 Canaux UNII-1 40mW UNII-2 250mW UNII-3 1W 200mW 1W Europe 19 Canaux • 19 canaux de 20 MHz en Europe • Débits théoriques supportés : 6, 12, 24, 36, 48 et 54 Mb/s • Possibilité d'agréger plusieurs canaux avec plusieurs Points d'Accès ou Ponts radio sur la même zone

Technologies Wireless LAN Couverture du 802.11a • Couverture théorique en intérieur Ces valeurs peuvent varier en fonction de la nature de la cellule, de la densité des clients et de l'application utilisée. Une étude de site est nécessaire pour tout déploiement. 6 Mb/s 52 à 61 mètres 18 Mb/s 40 à 45 mètres 54 Mb/s 18 à 21 mètres

Technologies Wireless LAN Couverture du 802.11g • Ce n'est encore qu'un "Draft Standard" • Permet d'atteindre un meilleur débit à 2,4 GHz • Vitesses proches du 802.11a • Compatibilité avec les 11 Mb/s du 802.11b BPSK = 1 Mb/s QPSK = 2 Mb/s CCK = 5,5 Mb/s, 11 Mb/s OFDM = 12 Mb/s - 54 Mb/s • Même modulation que le 802.11a (OFDM) • Ratification est disponibilité de produits standards courant 2003 20 - 50 Mb/s 11 Mb/s 802.11g 802.11b

Domaines de Régulation Technologies Wireless LAN 802.11b Fréquences & Règlementation Numéro de Canal Fréquence Centrale Domaines de Régulation Amérique du Nord ETSI Espagne France Japon 1 2412 MHz X - 10 mW 2 2417 MHz 3 2422 MHz 4 2427 MHz 5 2432 MHz 6 2437 MHz 7 2442 MHz 8 2447 MHz 9 2452 MHz 10 2457 MHZ 100 mW 11 2462 MHz 12 2467 MHz 13 2472 MHz 14 2484 MHz • 14 Fréquences disponibles • En France (Usage privé) - 4 fréquences à 100 mW (Intérieur/Extérieur) - 9 fréquences à 10 mW (Intérieur) ( Dans 38 départements)

Technologies Wireless LAN 802.11a Fréquences & Règlementation • Bande 5,150 GHz à 5,350 GHz libre en France en Intérieur à 200mW • Bande 5,470 GHz à 5,725 GHz n'est pas ouverte • Mais : - Nécessité de mettre en œuvre le TPC (Transmit Power Control) et le DFS (Dynamic Frequency Selection) sur la bande 5,250 GHz à 5,350 GHz • Donc : - Le 802.11a n'est utilisable que sur la bande 5,150 GHz à 5,250 GHz - Cela représente les 3 premiers canaux

Architectures Wireless LAN

3 Usages principaux Architectures Wireless LAN Généralités • Extension du réseau LAN Privé • Interconnexion de réseaux privés • L'accès public "HotSpot"

Architectures Wireless LAN Extension du réseau LAN privé Aironet A Aironet C Aironet B Canal 1 Canal 6 Canal 11

Topologie WLAN Répéteur • Configuration d'un Access Point en répéteur - Permet d'étendre la zone couverte - Partage de la bande passante totale sur toute la zone Access Point A Access Points B Access Point C Canal 1 Canal 1 Canal 1

Architectures Wireless LAN Partage de charge & Backup • Recouvrement de plusieurs canaux sur la même zone • Chaque canal va offrir 11 Mb/s, soit un total de 33 Mb/s • Le client détermine le meilleur AP suivant le signal et la charge de l'AP Canal 1 Débit Global 3 x 11 Mb/s Canal 6 Canal 11 Attention aux règlementations en France

Architectures Wireless LAN Interconnexion de réseaux privés 4,2 Kms - 2 Mb/s 2,1 Kms - 11 Mb/s Pont Aironet Pont Aironet Ethernet Ethernet Bâtiment A Bâtiment B Attention aux règlementations en France

Architectures Wireless LAN «Hot Spot» Privé Intranet Entreprise Internet Aéroport BBSM Hôtel BBSM Serveur Video Web Hotel Catalyst 3524-PWR Catalyst 3524-PWR PABX Web Aéroport Aironet LRE Attention aux règlementations en France

Architectures Wireless LAN «Hot Spot» Public Opérateur de services -1 Intranet Entreprise Hot Spot -1 Opérateur d'infrastructure SSG/CMX RADIUS Intranet Entreprise Internet Intranet Entreprise Hot Spot -2 Opérateur d'infrastructure Opérateur de services -2 SSG/CMX RADIUS

Sécurité Wireless LAN

Sécurité Wireless LAN Standard actuel Le standard 802.11 définit les mécanismes suivants • Authentification ouverte ou partagée • Un Chiffrement : le WEP (Wired Equivalent Privacy) Basé sur un algorithme RC4 Chiffrement 40 bits optionnel (Plusieurs constructeurs offrent du 128 bits) Pour être conforme à Wi-Fi il faut supporter un chiffrage sur 40 bits IV Base Key RC4 stream cipher Pas de hachage de clé

Sécurité Wireless LAN Faiblesses du WEP • Pas de gestion des clés, pas de notion d'utilisateurs • Mauvais contrôle de l'intégrité des données Possibilité de modifier un message sans que cette modification soit détectée à l'arrivée • Possibilité de déchiffrer les messages Possibilité de déchiffrer la clé dès que l'on connaît un couple (texte en clair, texte chiffré) avec le même IV Capacité de trouver la clé WEP par une formule mathématique basée sur des IV "faibles"

Les solutions actuelles Sécurité Wireless LAN Les solutions actuelles • Amélioration de l'authentification : 802.1x/EAP 802.1x est un standard réseau utilisé dans les commutateurs EAP : Extension du protocole RADIUS EAP-Cisco (LEAP) - Décembre 2000 EAP-TLS & EAP-MD5 : Standard disponible EAP-PEAP : Protected EAP - Proposition de Standard EAP-SIM : Authentification par carte SIM

Exemple 802.1x/EAP : EAP-Cisco Sécurité Wireless LAN Exemple 802.1x/EAP : EAP-Cisco 802.1x AP Serveur d'Authentification Client RADIUS Authentification de l'Utilisateur EAP-Cisco Authentification du réseau

Authentification EAP-Cisco Sécurité Wireless LAN Authentification EAP-Cisco Client AP Serveur RADIUS Start L'AP bloque toute requête jusqu'à la fin de l'échange LEAP Request Identity Le serveur RADIUS authentifie le client username username challenge response Le serveur Radius crée sa propre réponse pour le challenge PWD utilisé pour la réponse Si correpondance alors envoi de la réponse success success Le client challenge RADIUS challenge challenge RADIUS utilise le PWD pour répondre Le client en déduit une clé response response, key RADIUS en déduit une clé broadcast key Le client a authentifié le serveur RADIUS L'AP transmet la clé de diffusion client cryptée avec la clé de session key length

Les solutions actuelles Sécurité Wireless LAN Les solutions actuelles • Amélioration du chiffrement (WEP) Ajout d'un numéro de séquence Ajout d'un "Message Integrity Check" DA SA IV ICV WEP crypté Data SEQ MIC IV Base Key hash IV Packet Key Modification de l'algorithme WEP (pré-standard TKIP) RC4 XOR Plaintext Data Encrypted Data Stream cipher Key hashing

Utilisation de la technologie VPN Sécurité Wireless LAN Utilisation de la technologie VPN • Utilisation de réseaux VPN Technologie éprouvée Ne protège pas pour autant l réseau WLAN Complexité d'utilisation dans un Intranet Limitations (20-30% overhead, pas de multicast,...) Intranet Entreprise Concentrateur VPN DMZ WLAN

Sécurité Wireless LAN Résumé

Sécurité Wireless LAN Evolutions • WPA - WLAN Protected Access (mi-2003) - Authentification 802.1x/EAP - Chiffrement TKIP • Standard 802.11i (fin 2003?) - Chiffrement AES

Fonction Avancées

Sécurité Wireless LAN Jusqu'à 16 VLANs • Support de 16 VLANs 1 cellule radio (11 Mb/s) • Support de 16 VLANs • Protocole 802.1Q/p sur interface Ethernet • Différentes façon d'affecter les utilisateurs dans les VLANs - VLAN d'accueil non-sécurisé - Contrôle d'accès par SSID - Affectation dynamique de VLAN par authentification SSID-1 WEP-128 SSID-2 Cisco-EAP Trun 802.1Q VLAN 1&2

Sécurité Wireless LAN Jusqu'à 16 VLANs • Par défaut chaque VLAN-id (côté Ethernet) est associé à un SSID côté radio • L'administrateur imposera certainement un contrôle d'accès par utilisateur et par VLAN - Cela interdira en particulier à un utilisateur de passer d'un VLAN à un autre en changeant simplement son SSID • Deux mécanismes sont disponibles pour contrôler l'accès au VLAN Radio au travers de RADIUS 1. Affectation dynamique du VLAN par RADIUS 2. Contrôle du SSID par RADIUS

Affectation dynamique du VLAN par RADIUS Wireless Virtual LAN Affectation dynamique du VLAN par RADIUS 1. L'utilisateur s'authentifie avec l'AP via 802.1x ou une authentification MAC 2. Après l'authentification 80.1x/MAC réussie, le serveur RADIUS retourne le vlan-id pour l'utilisateur - Les paramètres IETF 64,65 et 81 sont utilisés - IETF 64 (Tunnel Type) : "VLAN" - IETF 65 (Tunnel Medium Type) : "802" - IETF 81 (Tunnel Private Group ID) : vlan-id 3. Le Pont/AccesPoint lie l'utilisateur au vlan-id spécifié par le serveur RADIUS

Contrôle du SSID par RADIUS Wireless Virtual LAN Contrôle du SSID par RADIUS 1. L'utilisateur s'authentifie avec l'AP via 802.1x ou une authentification MAC 2. Après l'authentification 80.1x/MAC réussie, le serveur RADIUS retourne la liste de SSID autorisés pour l'utilisateur - Cisco-av-pair (vendor specific) est utilisé pour retourner la liste SSID Exemple: Sur ACS 2.6 ou suivant, utiliser l'attribut Cisco IOS/PIX RADIUS, OO9\001 cisco-av-pair ssid=Engineering 3. Si le SSID utilisé pour associer l'AP est dans la SSID-List, L'utilisateur est autorisé à rester associé à l'AP sinon il est désassocié de l'AP.

Contrôle de l'accès VLAN - Résumé Wireless Virtual LAN Contrôle de l'accès VLAN - Résumé Serveur Radius EAP-Request (user-id: John) EAP-Success (user-id: John, VLAN-id=24) SSID=Engineering VLAN de Gestion AP/Bridge Trunk 802.1Q EAP-Success (user-id: Albert) Réseau d'Entreprise EAP-Success (user-id: Albert, SSID=Engineering) SSID=Guest SSID=Marketing

Qualité de Service (QoS) Besoins du support Voix, Vidéo & Données • Convergence Voix & Données • Utiliser la ToIP & 802.11 à la place de la Téléphonie classique du DECT • Commencer à supporter des applications Vidéo Email: Priorité la plus basse Trafic Vidéo: Seconde priorité Trafic Voix: Priorité la plus élevée

Qualité de Service (QoS) Problématique • Le WLAN est un média partagé • Le standard 802.11e n'est pas encore prêt • Les résultats dépendent autant du client que de l'AP • L'environnement radio a un impact

Qualité de Service (QoS) Implémentation pré-standard Radio DownStream Ethernet DownStream Network Radio UpStream Ethernet UpStream • QoS de l'AP vers le client • Classification par 802.1Q/p, DSCP, Policing, VLAN ID,... • 8 classes de services • Accès privilègié au média radio suivant la classe de service

Qualité de Service (QoS) Fonctionnement DCF (Distributed Coordination Function) Accès Libre quand le medium est libre pour une durée supérieure à DIFS DIFS Contention Windows DIFS PIFS SIFS Busy Medium Backoff-Window Next Frame Slot time Defer Access Sélectionner un slot et décrémenter Backoff tant que le support est libre • Fonctionnement sans QoS - Busy Medium: Attend que le canal soit libre (Collision Avoidance) - DIFS (Distributed IFS): Temps minimum de libération de la fréquence avant de lancer le mécanisme d'accès aléatoire - Contention Window (CW): Emission après un temps d'attente aléatoire pour éviter les collisions

Qualité de Service (QoS) eDCF (Enhanced Distributed Coordination Function) A(0) IFS A(0) Backoff (t) eDCF A(n) IFS A(n) Backoff (t) • eDCF (802.11 Task Group E) - eDCF permet au trafic prioritaire d'accéder au média radio en premier en altérant l'IFS et la fenêtre aléatoire (CW) - Aironet supporte eDCF sur les Points d'Accès - AP-1200-350-340 : uniquement le fenêtre aléatoire - AP-1100(IOS): IFS & fenêtre aléatoire

Proxy Mobile IP Qu'est-ce que Mobile IP? • Home Agent (HA) CN HA Cœur de Réseau FA MN • Home Agent (HA) • Foreign Agent (FA) [Distance 1 Hop Max] • Mobile Node (MN) • Care of Address (CoA) • Correspondant Node • Security Association

Fonctionnement du Roaming Mobile IP? Proxy Mobile IP Fonctionnement du Roaming Mobile IP? - Le MN s'aperçoit qu'il s'est déplacé vers un nouveau segment avec un FA - Le MN s'enregistre auprès du nouveau FA découvert HA MN 10.31.2.1 10.31.3.1 10.31.1.1 Mobility Binding Table MN COA 1.1.1.3 10.31.1.1 1.1.1.7 10.31.1.1 1.1.1.8 10.31.2.1 1.1.1.5 10.31.3.1 1.1.1.7 FA CN @ IP MN = 1.1.1.7

Fonctionnement du Roaming Mobile IP? Proxy Mobile IP Fonctionnement du Roaming Mobile IP? - Le MN s'aperçoit qu'il s'est déplacé vers un nouveau segment avec un FA - Le MN s'enregistre auprès du nouveau FA découvert Mobility Binding Table MN COA 1.1.1.3 10.31.1.1 1.1.1.7 10.31.1.1 1.1.1.8 10.31.2.1 1.1.1.5 10.31.3.1 MN 1.1.1.7 FA FA 10.31.3.1 HA 10.31.2.1 FA @ IP MN = 1.1.1.7 10.31.1.1 CN Le MN se déplace et se réenregistre auprès d'un nouveau FA

Fonctionnement du Roaming Mobile IP? Proxy Mobile IP Fonctionnement du Roaming Mobile IP? Mobility Binding Table MN COA 1.1.1.3 10.31.1.1 1.1.1.7 10.31.1.1 10.31.2.1 1.1.1.8 10.31.2.1 1.1.1.5 10.31.3.1 MN 1.1.1.7 FA FA 10.31.3.1 HA 10.31.2.1 Nouveau Chemin FA Pas de changement 10.31.1.1 Ancien Chemin CN @ IP MN = 1.1.1.7

Principe du Proxy Mobile IP(1) Réseau 10.2.1.8 10.2.1.1 HA/FA 10.2O.2.1 10.20.2.6 10.20.2.58

Principe du Proxy Mobile IP(2) Réseau 10.2.1.8 10.2.1.1 HA/FA 10.2O.2.1 10.20.2.6 10.20.2.58 Proxy Mobile Node Foreign Agent Home

Produits Cisco Aironet

Wireless LAN pour l'Entreprise Aironet 1200 Wireless LAN pour l'Entreprise • Performance - 11 Mb/s : Version 802.11b initiale - 54 mb/s : Version 802.11a Bi-bande • Flexibilité - Alimentation : Inline Power, Power Injector Classic Power - Choix des antennes - Configuration des puissances,... • Evolutivité - Mise à jour de la partie Radio - CPU 4 fois plus puissante - Mémoire 4 fois supérieure aux besoins actuels

Aironet 1100 Wireless LAN Compact • Performance - 11 Mb/s : Version 802.11b • Simplicité - Alimentation : Inline Power, Power Injector Classic Power - Antenne intégrée - Configuration des puissances,... • Richesse fonctionnelle - Sécurité - VLAN - Proxy Mobile IP - QoS

Séries Cisco Aironet 350 Points d'accès • Alimentation par le cable Ethernet • Puissance de 100 mW Gamme 350 - AP352E2C - AP352E2R-E-K9

Séries Cisco Aironet 350 Pont Wireless • Liaison Batiment à Batiment jusqu'à 40 Kms • Flexibilité : Point à point et point à multipoint • Boitier métal • Inline Power; Outils d'installation simplifiée • Capacités de Gestion - SNMP, Telnet, FTP, HTML - 802.1d Spanning-Tree

Adaptateurs Clients WLAN Séries Cisco Aironet 350 Adaptateurs Clients WLAN • Cartes PCMCIA pour PC portables et PDAs • Cartes PCI pour PC de bureau • Drivers pour : - W9x, Win Me, Win NT4.0, Win 2000, XP - Windows CE 2.11, 3.0 (Pocket PC) - Linux - MAC OS 9,X • Utilitaires pour la configuration de l'utilisateur et outil de surveillance site pour une installation et une mise à jour simple • Pont pour Groupe de travail

Intégration dans l'infrastructure de gestion de l'Entreprise Aironet 1200 Intégration dans l'infrastructure de gestion de l'Entreprise • Intégration dans l'infrastructure de gestion de réseau Cisco - CiscoWorks 2000, CDP,RME, etc... - Wireless LAN Solution Engine (WLSE) • Met à profit les investissements dans les outils de gestion et la formation dans les entreprises - Permet aux responsables réseau d'installer, de gérer et de maintenir une infrastrucutre Wireless LAN dans le cadre d'un réseau d'entreprise

Wireless LAN Solution Engine AP/Bridge Summary and Utilization Reports • Les rapports P/Bridge sont disponibles pour les données courantes et vitales: - Group summary - Group security - Group performance: RF Utilization - Group performance: Ethernet Utilization - AP/Bridge summary - AP/Bridge details - Current Client associations - EAP Authentication - AP/Bridge RF transmission statistics - AP/Bridge Ethernet transmission statistics - AP/Bridge performance graph/tabular report • Tous les rapports sont exportables au formats CSV, PDF, XML.

Wireless LAN Solution Engine Current /Historical Client Association Tracking Reports • Rapports sur les Clients par AP - Client Association Report (Courant) • Rapports sur les Clients par Groupe - Nombre d'associations (Historique) • Rapports par Client - Détail Client (Courant) - Statisiques Client (Courant) - Association Client (Historique)

Wireless LAN Solution Engine Security Policy Monitoring • Les politiques personnalisées peuvent générer des erreurs - SSID - Broadcast SSID disabled - WEP Enabled - LEAP Enabled - WEP Key Length - HTTP Disabled - Telnet Disabled - User Manager Enforced - HTTP Authentication